深度解析丨Spring框架远程命令执行漏洞复现及流量特征分析(CVE-2022-22965)
发表于 2022-11-24 21:07:45

01.

漏洞详情

1、漏洞简介

2022年3月30日,Spring框架曝出RCE 0day漏洞,国家信息安全漏洞共享平台(CNVD)已收录了Spring框架远程命令执行漏洞(CNVD-2022-23942),考虑到Spring框架的广泛应用,漏洞被评级为危险。

通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,从而触发pipeline机制并写入任意路径下的文件。

2、漏洞利用条件

  • Apache Tomcat作为Servlet容器;

  • 使用JDK9及以上版本的Spring MVC框架;

  • Spring框架以及衍生的框架spring-beans-*.jar文件或者存在

3、漏洞影响范围

  • JDK JDK 9+

  • Spring Framework 5.3.18+ 5.2.20+

docker已经配置好jdk环境。docker中的环境与宿主机jdk环境无关,只是当时做实验的时候,刚好也装了jdk9,记录了一下安装过程。

ubuntu下jdk9安装:

官网下载jdk,放入解压到路径/usr/lib/jvm

利用update-alternatives 进行jdk版本切换

数字越大,优先级越高

执行命令:

修改配置:

检查一下:

每一个命令都是auto 模式,这样才会自动选择优先级高的。为了确保,可以不用管现在的状态,直接设置一遍这些命令为auto模式。

版本检查:

02.

环境配置

主机系统:Apple M1,macOS Ventura version13.0

虚拟机系统(docker靶场系统):ubuntu 20.04.2 x86 (腾讯云服务器)

03.

漏洞复现

靶场项目:https://github.com/vulhub/vulhub

1、ubuntu安装docker

源:https://lug.ustc.edu.cn/wiki/mirrors/help/docker/

2、安装pip

3、安装docker-compose

4、启动靶场环境

可能遇到的问题:卡在了pulling阶段

因为docker加速器超时导致pull不下来,改成国内镜像

添加以下内容:

重启

5、漏洞版本验证

进入docker控制台

JDK

04.

利用链

利⽤class对象构造利⽤链,对Tomcat的日志配置进行修改

然后,向⽇志中写⼊shell

1、构造payload

2、GET发送

服务器上验证,确实已经生成了jsp

3、访问写入的webshell文件

4、清空

总体来说,这个漏洞的利用方法会修改目标服务器配置,导致目标需要重启服务器才能恢复,实际测试中需要格外注意。

05.

反弹shell

1、用msf生成木马

Lhost是监听机器的ip。因为目标机也是公网中的,所以监听机器也需要是公网IP,这样才能访问到。

msf生成的shell.elf是在本地的,需要自己想办法传到服务器上。

2、木马上传

正常情况下,应该是在公网的vps下面生成elf,然后wget下载。但我这次在本地生成的,所以直接scp拷到服务器上去。

宿主机向docker传输文件

3、赋予木马权限

4、msf开启监听

在公网服务器上

ubuntu快速安装msf:Ubuntu快速安装MSF - tomyyyyy - 博客园

5、执行木马

06.

抓包

过滤语句:ip终点选靶机的IP,起点选择攻击机的IP。

因为靶场走的8080端口,http协议,所以筛选条件加上http协议。

追随No.1277和1566的http流

07.

特征流量分析

1、pipeline.first.pattern

对get头进行解码:

2、pipeline.first.suffix

3、parent.pipeline.first.directory

4、pipeline.first.prefix

5、pipeline.first.fileDateFormat

08.

漏洞规则

规则思路如下:

09.

snort规则验证

snort的各种配置以及环境,见以前的blog:http://985.so/b0etg

把刚刚抓到的数据包放进snort环境中,把写好的规则文件也放进环境中。

1、规则配置

把规则文件放进规则路径,并修改snort.conf配置

2、修改snort.conf的内容

设置需要保护的ip地址

在setp6里,设置输出

翻到最下面,找到规则集列表。

打开local.rules的注释,以允许snort装载个性化规则集。

保存编辑:wq

3、测试是否能正常工作

4、运行成功

5、规则验证

10.

修复及防范措施

1、漏洞排查

  • JDK版本号排查

在业务系统的运行服务器上,执行java -version命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响

  • Spring框架使用情况排查

如果业务系统项目以war包形式部署,按照如下步骤进行判断:

如果业务系统项目以jar包形式直接独立运行,按照如下步骤进行判断:

2、漏洞影响

  • JDK版本号在9及以上的

  • 使用了spring框架或衍生框架

3、漏洞修复建议

4、安全产品部署

该漏洞的防范规则,现已加入六方云工业互联网安全产品体系。

  • 在网络出口位置部署六方云防火墙,并及时更新特征库;

  • 部署六方云网络威胁检测与回溯系统,及时发现未知威胁。

11.

附录:snort 文件部署路径

1、snort安装包所在路径、相关文档

  • doc:snort的一些说明文档所在文件夹

2、snort规则文件、配置文件

3、snort日志文件

4、snort运行

5、规则路径

6、配置路径


 「免责声明」:以上内容为收录信息,其目的在于传播更多信息,与本网站立场无关。我们不保证该信息(包括但不限于文字、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关信息并未经过本网站证实,不对您构成任何投资建议,据此操作,风险自担,以上网页呈现的图片均为网友自发上传,如发生图片侵权行为与我们无关。若发现疑似图片侵权行为可发送举报邮件至 ac@csdn.net。

CSDN官方微信
扫描二维码,向CSDN吐槽
微信号:CSDNnews
微博关注
【免责声明:CSDN本栏目发布信息,目的在于传播更多信息,丰富网络文化,稿件仅代表作者个人观点,与CSDN无关。其原创性以及文中陈述文字和文字内容未经本网证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网不做任何保证或者承诺,请读者仅作参考,并请自行核实相关内容。您若对该稿件有任何怀疑或质疑,请立即与CSDN联系,我们将迅速给您回应并做处理。】